人脸识别在线上金融业务中的应用风险

2021年，广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户王兰（化名）在遗失了身份证后，却被人冒用身份通过银行的“人脸识别”贷款，导致王兰因逾期被告上了法庭。经司法笔迹鉴定，认为案涉客户签名并非王兰本人签署，手机号码亦未曾登记在王兰名下。最终，法院驳回银行全部诉讼请求。

2020年10月，四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频，借助“僵尸企业”“空壳公司”，为6000多人包装公积金信息，然后向多家银行申请公积金贷款，最终带来10亿多元的坏账。

一系列看似荒诞的案件，给银行机构敲响了警钟，“人脸识别”的准确性面临质疑。

人脸识别在金融业的应用

2015年末，央行《关于改进个人银行账户服务加强账户管理的通知》中明确提出，提供个人银行账户开立服务时，有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段。为落实中国人民银行的要求，各金融机构开始大力探索、推进人脸识别技术在各领域的应用。

人脸识别作为一种生物识别技术，被广泛运用于金融领域，主要作用是实现在线身份认证。“刷脸”应用在自助终端、柜台以及移动端多个渠道商。尤其随着新冠疫情的影响，非接触零接触的金融服务飞速发展，加速银行数字化转型，线上金融服务飞速发展。

人脸识别已经成为登录、确认、申请、修改等业务环节中重要的验证技术，同时也存各类安全风险。

有媒体报道，大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套，动态软件将人脸照片制作成“动态视频”只要几元，以完成各类线上业务人脸识别的验证。此外，清华大学研究人员曾经在15分钟解锁了19个陌生智能手机。

可以清楚地看到，人脸识别技术带来人们便利的同时，也要带来的各类仿冒、攻击、盗取等三类安全隐患。

仿冒登录。戴上眼镜、帽子、面具等伪装手段，或者可以制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均，混淆算法判断，达到欺骗系统的目的。可以骗过有效性不高的人脸识别算法和活体监测算法。

劫持篡改。远程入侵篡改人脸识别系统验证流程、信息、数据等，将后台或前端的真数据替换为假数据，以实现虚假人脸信息的通过。

盗取冒用。通过各类公开或非法手段，收集、保存、盗取正常的人脸数据，然后非法冒用。

由于人脸的结构、外形相似，并且脸部表情、角度、光线、环境、穿戴、年龄的因素，导致人脸的视觉图像也相差很大。因此，外部客观因素对人脸识别也带来较多影响。

多方面提升人脸识别应用安全

客户身份识别是金融机构预防洗钱犯罪、防范金融风险的第一道安全防线。上海银保监局发布关于防范人脸识别技术使用风险的消费提示，提醒金融消费者要做到“人脸识别有了解，生物信息应保护，手机操作莫予人”，让人脸识别技术真正便民、利民、护民。

人脸识别应用安全需要在三方面加强：

• 提升人脸识别系统的精准度，例如通过模型和算法提高真伪判别；基于空间域的检测，例如图像取证的检测、生物频率，如GAN的伪影检测、基于生物信号的检测，视声不一致以及视觉上不自然等。

• 保障人脸识别系统的安全性。防范API接口被篡改劫持，保证输出效果、生成网络效果的真实、发现设备和系统端口、通讯的异常；及时预警，防止灌入虚假人像、混淆真假人像、库内人像信息被篡改；保证人脸数据存储以及传输的完整性、机密性等。

• 提升人脸识别识别的风控能力。人脸识别是一种技术核验，但不能作为唯一的手段。需要采用身份证、手机号码、银行卡、操作行为、设备、环境等综合手段进行核验，甚至需要人工电话核实。通过立体的风控体系，增强人脸识别从源头到应用的全链条预警、拦截、防护能力，提升人脸识别应用的安全性。

人脸识别应用更离不开法律法规护航。2021年7月，最高法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，对人脸信息提供司法保护。解释明确规定，在宾馆、商场、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定，使用人脸识别技术进行人脸验证、辨识或者分析，应当认定属于侵害自然人人格权益的行为。

行业机构也在牵头制定应用标准。2021年4月7日，中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”。顶象等多家公司入选第二批“可信人脸应用守护计划”成员单位，将与各界通力合作，积极探索人脸应用治理与发展的可信指引，助力人脸识别应用安全发展，共建可信的人脸应用生态。